卡巴斯基误杀userinit.exe系统文件后恢复方法

故障现象：

         WIN XP一登录就注销，其间可见“正在注销”的提示，并重新回到登录前的界面。进入安全模式或是换其它用户登录也是同样的现象。

 

故障原因：

         卡巴斯基工作站版（5.0.225）杀毒软件误将userinit.exe这个系统文件认为是“Trojan-Downloader.Win32.Small.ahfz" 木马病毒，而将其删除所致。后经测试发现，其只对打了XP SP3补丁的userinit.exe文件会误报，但SP2的则不会。（另：卡巴斯基新病毒库2008-12-17号以后的已经更正了，不会出现误报误杀了。）

 

解决办法：

         当出现以上问题后，按如下步骤处理：

         1、重新启动电脑并进入CMOS设置，修改系统时间至较早前的一个时间，比如2007年。目的是使用卡巴斯基失效，以便于进行后面的文件恢复操作。

         2、将userinit.exe文件恢复至xp系统安装目录的system32文件夹下。默认为 c:\windows\system32 .

               恢复方法有多种，这里提供两个：

              方法一：比如使用萝卜家园的从光盘引导并启动的XP PE环境，将其它机器上的userinit.exe文件通U盘或移动硬盘拷到故障机的相应目录中。（注：文后附萝卜家园工具盘的下载地址）

              方法二：使用XP系统安装盘上的故障恢复控制台，从安装盘上恢复userinit.exe文件至相应的目录。 假设光盘的盘符为E，WINXP的安装目录为c:\windows ，则在控制台的窗口中输入 :

expand e:\i386\userinit.ex_ c:\windows\system32\userinit.exe

 

          3、重新启动电脑后，应该可以正常登录了。登录后，设置卡巴斯基，将userinit.exe文件设为不扫描的对象。以防再次被删。

          4、修改日期为正确的时间并重新启动电脑。更新卡巴斯基病毒库，避免再次误报。然后取消第3步中对卡巴斯基的设置，以防有以userinit.exe为名字的其它恶意程序侵入电脑。

 

附：

         萝卜家园工具盘中的附带的光盘启动的XP环境（PE）。

            [url]http://www.uam.cc/download/bencandy.php?&fid=11&id=734[/url]

           注：该版本不是我正在使用的版本，是最新版。我正在使用的下载地址找不到了。但从说明和界面上看，功能类似，应该比我使用的更好。

 

题外话：卡巴斯基的查杀率据说数一数二，被卡巴扫过的电脑，应该是非常“干净”的了。但卡巴斯基也时而将一些正常的系统文件错杀，从而造成系统功能的不正常。而一旦出现这种情况，普通的电脑使用者，是很难自已修复的。而电脑已经成为当今社会一个越来越离不开的东西，这很耽误事儿。卡巴误杀，这不是第一次，估计也不会是最后一次。希望卡巴在严格测试的同时，是否也应该提供一些简单的恢复工具，以方便普通电脑使用者。